2024’ün siber güvenlik manzarası, saldırganların açıklamadan sonraki saatler içinde kırılganlık istismarlarını otomatikleştirme yeteneğinden kaynaklanan kitlesel internet sömürüsünde benzeri görülmemiş bir artışa tanık oldu.
Greynoise’in 2025 kitlesel internet sömürüsü raporu, siber saldırıların sistematik bir sanayileşmesini ortaya koyuyor ve tehdit aktörleri, sistemleri ölçeklendirmek için hem en son hem de onlarca yıllık güvenlik açıklarından yararlanıyor.
Fidye yazılımı kampanyalarından botnet güdümlü saldırılara kadar, rakipler, savunucuların bunları düzeltebileceğinden daha hızlı silahlandırmada endişe verici verimlilik gösterdiler ve küresel yama yönetimi stratejilerindeki sistemik zayıflıkların altını çizdi.
2024’te saldırganlar makine hızında faaliyet gösterdi ve araştırmacılar kamu açıklamasından sonraki 4-6 saat içinde kritik güvenlik açıkları için sömürü girişimlerini gözlemlediler.
Bu otomasyon sıfır gün kusurlarının ötesine uzandı; İstismar edilmiş CVES’lerin% 40’ı, 1990’lara tarihlenen güvenlik açıkları da dahil olmak üzere en az dört yaşındaydı.
Örneğin, 2015 yılında ilk önce yamalanmış bir Realtek miniigd UPNP kusuru olan CVE-2014-8361, en çok hedeflenen giriş noktalarından biri olarak kaldı, 41.522 benzersiz IPS, kriptojik yükleri dağıtmak için sömürüldü.
Fidye yazılımı kolektifleri, CISA’nın bilinen sömürülen güvenlik açıkları (KEV) kataloğunda listelenen güvenlik açıklarından yararlanan saldırıların% 28’ini oluşturdu, genellikle resmi kev tanımlarından önce kusurları silahlandırdı.
CVE-2023-4863 aracılığıyla Android cihazları hedefleyen 12.000’den fazla IPS’ye atfedilen Mayıs 2024 dalgalanması, saldırganların coğrafyalar ve cihaz türleri arasındaki kitle sömürüsünü nasıl koordine ettiğini örnekledi.
Güvenlik açığı istismarlarını otomatikleştiren saldırganlar
Güvenlik açığı yönetimindeki ilerlemelere rağmen, eski sistemler kritik zayıf noktaları kanıtladı. İlk olarak 2018’de açıklanan CVE-2018-10561 GPON yönlendirici solucanı, 2024’ün en çok sömürülen kırılganlığı olarak yeniden ortaya çıktı ve 96.042 benzersiz IPS kaçakçısı yönlendiricileri DDOS saldırıları için botnetler oluşturmak için.
Benzer şekilde, MVPower CCTV DVR’lerinde 2016 kusuru olan CVE-2016-20016, saldırganların 17.496 cihazdan ödün vermesine ve gasp kampanyaları için görüntüleri açıklamasına izin verdi.
Geynoise’in kurucusu Andrew Morris şunları kaydetti: “CVSS puanları veya KEV listeleri hakkında daha az önem veriyorlar. Tüm interneti tararlar – yapmak hızlı ve ucuz – maruz kalanları bulurlar ve hemen peşinden giderler ”.
Bu ekonomik hesap, gözlemlenen istismarların% 32’sinin neden hedeflenen IoT cihazlarını, özellikle 29.620 sömürü denemesi geçiren Tenda AC8 (CVE-2023-30891) gibi ev yönlendiricileri olduğunu açıklamaktadır.
Fidye yazılımı grupları, başlangıç erişimini elde etmek için otomatik sömürü araçlarına giderek daha fazla güveniyordu.
Lockbit 3.0 sendikası, örneğin, açıklamadan sonraki 72 saat içinde silahlandırılmış CVE-2023-34362 (bir Moveit Transferi Sqli kusuru), 2.300 kuruluşu açmamış örneklerden yararlanarak ihlal ediyor.
Grinnoise verileri, fidye yazılımı bağlantılı IP’lerin% 67’sinin iki yıldan daha eski güvenlik açıklarını hedeflediğini ve sağlık ve eğitim gibi sektörlerde gecikme yama döngülerini kullandığını gösterdi.
Rapor, savunucular için üç kritik değişimi vurgulamaktadır:
Gerçek Zamanlı Tehdit İstihbaratı: Geleneksel güvenlik açığı yönetimi döngüleri (genellikle 30-90 gün) geçersizdir. Greynoise’in telemetri platformu gibi, birkaç dakika içinde tarama etkinliğini tespit eden çözümler önceliklendirme için gereklidir.
Eski Sistem Denetimleri: Kuruluşlar, saldırı yüzeylerini azaltmak için, özellikle IoT ve ağ altyapısının envanter ve segmentine sahip olmalıdır.
Otomatik Yama Dağıtım: Yapay zeka odaklı yama yönetim sistemleri, erken benimseyenlerde ortalama iyileştirme süresini (MTTR)% 58 azalttı ve kritik pencereler sırasında riskleri azalttı.
2024 sömürü dalgalanması, keskin bir gerçekliğin altını çiziyor: Siber güvenlik artık bir gizlilik savaşı değil, hız savaşı.
Fidye yazılımı kolektifleri ve otomasyona büyük yatırım yapan devlet destekli gruplarla, 2025 kitle İnternet sömürüsü raporu, hem uyarı hem de bir yol haritası, kuruluşları gerçek zamanlı, veri odaklı savunma mekanizmaları lehine terk etmeye çağırıyor.
Are you from SOC/DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Start Now for Free.